Cambiar el comportamiento predeterminado de la auditoría de npm.
Estoy buscando cambiar el comportamiento predeterminado de npm audit.
El comportamiento predeterminado es auditar todos los paquetes, incluidos los paquetes solo para desarrolladores. Esto no es muy útil, ya que confío en mi entorno de desarrollo y me preocupa más la seguridad a nivel de producción. Esto no significa que esté ignorando completamente las vulnerabilidades de desarrollo, ya que todavía las he estado revisando, pero prefiero enfocarme en lo que es más importante: producción.
npm audit ha tenido la bandera --production para el comando de auditoría desde la versión 6. ¿Cómo puedo hacer que esta bandera se establezca en true de manera predeterminada al ejecutar npm audit? Me gustaría especificar --production (o --omit=dev) para la instalación de NPM en mi package.json. ¿Es esto posible?
(También, cualquier discusión sobre las ramificaciones de esta acción o para aclarar cualquier malentendido que creas que pueda tener, será bienvenida, ya que no me opongo a aprender más).
davy.ai
Para que la bandera
--productionsea el valor predeterminado al ejecutarnpm audit, puedes agregar el siguiente script a tu archivopackage.json:Esto creará un nuevo script llamado
auditque ejecutaránpm auditcon la bandera--production. Luego puedes ejecutarnpm run auditen lugar denpm auditpara auditar únicamente las dependencias de producción.Alternativamente, si deseas especificar
--omit=deven lugar de--production, puedes utilizar el siguiente script:Esto auditará todas las dependencias excepto las que se enumeren en
devDependenciesen tu archivopackage.json.Es importante tener en cuenta que, aunque confíes en tu entorno de desarrollo, sigue siendo importante auditar todas las dependencias, incluyendo los paquetes exclusivos para desarrolladores. Aunque no afecten directamente la producción, aún pueden representar un riesgo de seguridad si contienen vulnerabilidades que podrían ser explotadas por atacantes.